あるeコマースプラットフォームで、配送先住所やショッピングカートの不正追加を許してしまうバグ報奨金が見つかりました。
この脆弱性により、ユーザーは単純なデータインジェクションから購入フローの不正利用に至るまで、ユーザーに気付かれることなくアカウントにデータを密かに注入することが可能でした。
この脆弱性を発見した経緯と、概念実証の構築方法について解説します。
クロスサイトリクエストフォージェリ(CSRF)は、ユーザーが認証されているウェブサイトの信頼性を悪用し、アカウントの変更や、ユーザー情報が保存されないままの金融取引といった深刻な結果をもたらす可能性があります。
コメント